Подпольный киберпреступный фишинговый сервис Tycoon2FA, который позволял своим подписчикам перехватывать активные сеансы аутентификации, захватывая учетные данные, одноразовые пароли и активные сессионные cookie для обхода многофакторной аутентификации (MFA), был ликвидирован в ходе операции под руководством Европола. В ней участвовало Национальное агентство по борьбе с преступностью Великобритании (NCA) при поддержке коалиции отраслевых партнеров, включая Cloudflare, Microsoft, Proofpoint и подразделение TrendAI компании Trend Micro. В рамках операции были выведены из строя 330 доменов, составлявших основную инфраструктуру Tycoon2FA, таких как фишинговые страницы и панели управления. Это сделали партнерские агентства в Латвии, Литве, Португалии, Польше и Испании. Эта акция стала результатом долгосрочного совместного противодействия Tycoon2FA, который действовал с лета 2023 года. За последние три с половиной года пользователи Tycoon2FA использовали более 24 000 доменов, а кампании в основном были нацелены на сервисы Microsoft 365 и Google, в частности Gmail. Большинство жертв — чуть менее 52% — находились в США, около 8% — в Великобритании, 5% — в Германии и 4% — в Канаде. По данным Microsoft, в Великобритании известно более 5000 жертв. «К середине 2025 года на Tycoon2FA приходилось около 62% всех фишинговых атак, заблокированных Microsoft, включая более 30 миллионов электронных писем за один месяц. Это вывело Tycoon2FA в число крупнейших фишинговых операций в мире», — заявил Стивен Масада, помощник генерального советника подразделения по борьбе с цифровыми преступлениями Microsoft. «Несмотря на обширные меры защиты, сервис связан с примерно 96 000 отдельными жертвами фишинга по всему миру с 2023 года, включая более 55 000 клиентов Microsoft. «Наиболее сильно пострадали организации в сфере здравоохранения и образования», — сказал Масада. «Более 100 членов Health-ISAC, глобальной группы по обмену информацией об угрозах для сектора здравоохранения и соистца по этому делу, стали жертвами фишинга. Только в Нью-Йорке по меньшей мере две больницы, шесть муниципальных школ и три университета подверглись попытке или успешному компрометации через Tycoon2FA. Эти инциденты имели ощутимые последствия: нарушение операций, отвлечение ресурсов и задержки в оказании помощи пациентам». Сервис отличался масштабом и доступностью: готовый к использованию набор инструментов предоставлял покупателям поддельные страницы входа, прокси-уровни и базовые инструменты для кампаний, а недавние обновления добавили функции обхода для затруднения анализа и реагирования. На момент ликвидации на этой неделе у него было около 2000 активных подписчиков, каждый из которых платил примерно 120 долларов за 10-дневную лицензию. «Это была не единичная фишинговая кампания. Это был индустриализированный сервис, созданный для того, чтобы обход MFA стал доступен тысячам преступников», — заявил Роберт МакАрдел, директор по исследованиям киберпреступности в TrendAI. «Идентичность теперь является основной поверхностью атаки. Когда угон сеансов можно упаковать и продать как подписку, риск смещается от изолированных инцидентов к системной уязвимости», — добавил он. МакАрдел и его коллеги в течение некоторого времени активно исследовали и отслеживали инфраструктуру Tycoon2FA и поведение операторов. Прорыв в их работе произошел в ноябре 2025 года, когда им удалось идентифицировать вероятного разработчика и основного оператора сервиса — человека, использующего псевдонимы SaaadFridi или Mr_Xaad. Команда сообщила, что этот человек активно занимался мелкой киберпреступностью в стиле хактивизма, такой как дефейс веб-сайтов, прежде чем перейти к разработке фишинговых комплектов. На человека по имени Саад Фриди, а также на четырех неназванных лиц, именуемых Джоном Доу (1-4), Microsoft и Health-ISAC подали в суд сегодня в Окружной суд США по Южному округу Нью-Йорка. «Мы составляли карту операторов Tycoon2FA и их инфраструктуры в течение нескольких месяцев до вмешательства. Что нас поразило, так это масштаб и последовательность паттернов. Домены, выбор хостинга, обновления комплектов и каналы поддержки в даркнете — все указывало на скоординированный коммерческий сервис, а не на разрозненные кампании», — рассказал МакАрдел Computer Weekly. «Как только мы получили высокую степень уверенности в атрибуции и понимание масштаба проблемы, мы поделились подробными данными с Европолом, чтобы обеспечить быстрое принятие мер. Такой оперативный разведывательный материал превращает видимость в результат», — добавил он. «Передача этой информации Европолу не была рутинным обменом данными. Это результат постоянного отслеживания, технической проверки и тщательной корреляции по множеству точек данных. Когда вы видите платформу, активно снижающую порог для обхода MFA в больших масштабах, существует ответственность выйти за рамки простого сообщения и помочь в разрушении ее инфраструктуры или операторов. Именно здесь должно происходить пересечение исследований угроз частного сектора и сотрудничества правоохранительных органов, если мы серьезно настроены на снижение риска киберпреступности, а Европол давно является близким партнером в этой области».
Один из многих
Tycoon2FA был лишь одной из многих платформ фишинга как услуги (PhaaS), доступных киберпреступникам. Другие известные активные примеры включают BlackForce, GhostFrame и InboxPrimeAI. Последний использует генеративный искусственный интеллект (GenAI) для имитации человеческого поведения в своих кампаниях и позиционируется как «программное решение» для фишинга. Эти платформы иногда ошибочно считают менее значимыми по сравнению с программами-вымогателями, но в реальных ситуациях они часто используются как начальная точка доступа для банд программ-вымогателей, а украденные учетные данные и токены затем продаются в даркнете или передаются брокерам начального доступа (IAB) для монетизации. Tycoon2FA представлял собой особенно острую угрозу, поскольку он существенно снизил технический барьер входа и расширил пул злоумышленников, способных проводить более изощренные атаки. И хотя его ликвидация станет серьезным ударом по экосистеме PhaaS, лежащая в основе угроза остается такой же реальной, как и прежде. МакАрдел отметил, что операция против Tycoon2FA подчеркнула ценность устойчивого и целенаправленного отслеживания в сочетании с сотрудничеством. Поскольку фишинговые платформы сами по себе транснациональны и полагаются на распределенную инфраструктуру для обслуживания пользователей по всему миру, отрасль должна отвечать тем же, при этом лучшая видимость и оперативная разведка помогают согласовать действия. Команда TrendAI продолжит отслеживать любые попытки воссоздать или переименовать Tycoon2FA и оказывает поддержку последующим расследованиям в отношении выявленных пользователей сервиса и других администраторов. «Ликвидация Tycoon2FA показывает, что возможно, когда на разведданные реагируют, а не просто наблюдают за ними», — сказал МакАрдел. «Мы продолжим отслеживать действующих лиц, инфраструктуру и пользователей, стоящих за этими сервисами, чтобы защитить наших клиентов и повысить стоимость работы в этой экосистеме».
Следующие шаги
Ликвидация Tycoon2FA демонстрирует, что одного MFA недостаточно против фишинга типа «злоумышленник посередине» (AitM), поэтому защитникам теперь необходимо приложить дополнительные усилия для отражения этой угрозы. Среди прочего, руководителям служб безопасности следует рассмотреть возможность внедрения более устойчивых к фишингу механизмов аутентификации с более строгими элементами условного доступа. Им также может потребоваться развернуть технологии безопасности электронной почты и совместной работы для обнаружения бокового фишинга и подделки брендов, а также включить проверку URL-адресов в реальном времени и анализ веб-контента для выявления поддельной инфраструктуры входа. Организациям также следует перейти к непрерывному мониторингу риска идентификации и внедрить возможности, позволяющие быстро реагировать в случае обнаружения аномального поведения сеанса. Наконец, все эти шаги должны идти рука об руку с регулярным моделированием фишинговых атак и целевым обучением осведомленности о безопасности для сотрудников, находящихся в зоне риска.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
